Заявка на расчёт
152-ФЗ · ПДн · Штрафы

Утечки ПДн в 2026: оборотные штрафы и как реально подготовиться

17 апреля 2026 · 9 минут чтения. Разбираем, что изменилось с июня 2025, что вступит в силу с 01.01.2027 и какие 9 шагов нужно пройти прямо сейчас, чтобы не получить штраф 3 % от годовой выручки.

Что изменилось летом 2025 и что добавится с 2027

Федеральный закон № 421-ФЗ от 30.05.2025 ужесточил ответственность за утечки ПДн в три этапа. С 30.05.2025 уже действуют повышенные штрафы за утечки и нарушения сроков уведомления РКН. С 01.01.2027 вступают в силу оборотные штрафы — самое болезненное изменение для среднего и крупного бизнеса.

30.05.2025 — действует

Утечка от 1 000 субъектов — 3–5 млн ₽. От 100 тыс. субъектов — 10–15 млн ₽. Спецкатегории (медицина, биометрия) — до 18 млн ₽. Сокрытие утечки или несвоевременное уведомление — отдельный состав.

01.01.2027 — вступает

За повторную утечку — оборотный штраф 0,1–3 % от годовой выручки за предыдущий год. Минимум 15 млн ₽, максимум 500 млн ₽. Для компании с выручкой 5 млрд ₽ — 5–150 млн ₽.

Сроки уведомления РКН — где чаще всего «горят»

По ч.12 ст.19 152-ФЗ оператор обязан уведомить РКН в течение 24 часов с момента обнаружения утечки и в течение 72 часов предоставить результаты внутреннего расследования. Просрочка — штраф 1–3 млн ₽ для юр.лица.

Реальные кейсы Q1 2026

В 2026 году суды чаще всего штрафуют за: (1) отсутствие уведомления вовсе («не считали инцидентом») — 65 % исков; (2) просрочка 72 часов из-за затянутого расследования — 22 %; (3) несоответствие данных между уведомлением и реальностью — 13 %.

9 шагов подготовки — что делать прямо сейчас

  1. Подайте уведомление в РКН о начале обработки ПДн. Через Госуслуги или сайт rkn.gov.ru. 15 минут. Если этого нет — штраф до 300 тыс. ₽ при первой же проверке.
  2. Назначьте ответственного за обработку ПДн приказом. Ответственный должен быть в штате (не на ГПХ).
  3. Проведите классификацию ИСПДн. К1–К4 определяет состав мер по Приказу ФСТЭК № 21. Без классификации остальные меры юридически «висят в воздухе».
  4. Постройте модель угроз и нарушителя. По методике ФСТЭК 2021 года. Это база для всех последующих документов и выбора СЗИ.
  5. Составьте 23 документа ОРД. Политика, согласия, инструкции, журналы. Без них штраф до 500 тыс. ₽.
  6. Внедрите СЗИ из реестра ФСТЭК. Антивирус, межсетевой экран, средство защиты от НСД, SIEM/EDR — состав зависит от класса.
  7. Поставьте мониторинг и журнал инцидентов. Без журнала вы не сможете уложиться в 24 часа уведомления — потому что не узнаете о факте утечки вовремя.
  8. Заведите регламент реагирования на 24 часа / 72 часа. Конкретные ФИО, телефоны, шаблоны уведомлений в РКН. Тренировка минимум раз в полгода.
  9. Получите аттестат соответствия. На 3 года освобождает от лишних проверок и сильно смягчает последствия даже при инциденте.

Что смягчает ответственность по факту

Из 84 решений судов по ст.13.11 КоАП за 2025–Q1 2026 года смягчающие обстоятельства применились в 41 % случаев. Что работает:

Своевременное уведомление РКН

Подали в 24 часа — суд почти всегда снижает штраф на 30–50 %. Подали с опозданием — отдельная статья сверху основной.

Аттестат + приказ № 21 в полном объёме

Демонстрация добросовестности. Минимальный штраф из вилки + предупреждение вместо штрафа для малого бизнеса.

Уведомление субъектов ПДн

Прямое информирование пострадавших до публикации в СМИ. Снижает репутационный ущерб и оценивается судом.

Договор с лицензиатом ФСТЭК

Подтверждает, что вы не «забили» на безопасность, а строили её системно. В 2025 году было 11 решений с прямой ссылкой на это.

Бесплатная диагностика ИСПДн за 24 часа

Найдём разрывы с 152-ФЗ и Приказом ФСТЭК № 21, дадим смету работ. Без обязательств.

Получить диагностику